Ergebnis 1 bis 7 von 7
Danke Übersicht10Danke
  • 1 Post By Silver Server
  • 4 Post By Ari45
  • 1 Post By Ari45
  • 4 Post By Michael_Bo
Thema: BSOD Pointer REFERENCE BY POINTER Mir ist heute der PC mit nem Bluescreen gecrasht. Ich habe Musik (iTunes) gehört und Firefox offen, wie jeden Tag ...
  1. #1
    batcop
    Herzlich willkommen

    BSOD Pointer REFERENCE BY POINTER

    Mir ist heute der PC mit nem Bluescreen gecrasht.

    Ich habe Musik (iTunes) gehört und Firefox offen, wie jeden Tag eigentlich, und es kam einfach der Bluescreen mit der Fehlermeldung: REFERENCE BY POINTER

    den Dump hänge ich an.
    Angehängte Dateien Angehängte Dateien

  2. #2
    Silver Server
    gehört zum Inventar Avatar von Silver Server

    AW: BSOD Pointer REFERENCE BY POINTER

    BUGCHECK_STR: 0x18

    PROCESS_NAME: TmCCSF.exe

    CURRENT_IRQL: 2

    ANALYSIS_SESSION_HOST: DESKTOP-86JL115

    ANALYSIS_SESSION_TIME: 09-28-2017 11:40:07.0761

    ANALYSIS_VERSION: 10.0.16365.1002 amd64fre

    Da ist das Programm TmCCCF.exe von Trend Micro abgestürzt.
    Ari45 bedankt sich.

  3. #3
    batcop
    Herzlich willkommen

    AW: BSOD Pointer REFERENCE BY POINTER

    hey danke für die schnelle hilfe, der absturz ereignete sich bereits 11:14 oder 11:16 uhr und kam danach nicht erneut vor. gestern am 27.09.2017

  4. #4
    Ari45
    gehört zum Inventar Avatar von Ari45

    AW: BSOD Pointer REFERENCE BY POINTER

    Hallo batcop!
    Zuerst gleich das Debug-Ergebnis: den Absturz verursachte deine Sicherheitssoftwar von TrendMicro.
    verborgener Text:
    REFERENCE_BY_POINTER (18)
    Arguments:
    Arg1: 0000000000000000, Object type of the object whose reference count is being lowered
    Arg2: ffffa98321e0b920, Object whose reference count is being lowered
    Arg3: 0000000000000006, Reserved
    Arg4: ffffffffffffffff, Reserved
    ....
    DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT
    BUGCHECK_STR: 0x18
    PROCESS_NAME: TmCCSF.exe
    ....
    Der letzte aktive Thread
    3: kd> !thread
    THREAD ffffa983237e27c0 Cid 0e8c.13f4 Teb: 0000000334956000 Win32Thread: 0000000000000000 RUNNING on processor 3
    Not impersonating
    GetUlongFromAddress: unable to read from fffff800e99c02d4
    Owning Process ffffa983274b1080 Image: TmCCSF.exe
    Besitzer ist TrendMicro TmCCSF.exe
    Attached Process N/A Image: N/A
    fffff78000000000: Unable to get shared data
    Wait Start TickCount 16146482
    Context Switch Count 860 IdealProcessor: 3
    ReadMemory error: Cannot get nt!KeMaximumIncrement value.
    UserTime 00:00:00.000
    KernelTime 00:00:00.000
    Win32 Start Address 0x00007ffd760876d0
    Stack Init ffffcc0022e7ac90 Current ffffcc0022e798e0
    Base ffffcc0022e7b000 Limit ffffcc0022e75000 Call 0000000000000000
    Priority 9 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
    Auszug aus den Stack
    nt!KeBugCheckEx
    nt!IopDecrementDeviceObjectRef + 0x12f2e6
    nt!IopDeleteFile + 0x1b9

    Die referenzierte Datei wurde gelöscht. Der Referenzzähler soll verringert werden.
    Da aeber das Object nicht mehr existiert und auch schon aus dem Referenzzähler entfernt wurde,
    kommt es zum Stoppfehler

    nt!ObpRemoveObjectRoutine + 0x7e
    Das zugehörige Objekt wird entfernt
    nt!ObfDereferenceObjectWithTag + 0xc6
    nt!ObCloseHandleTableEntry + 0x272
    Ein Prozess wird geschlossen
    nt!NtClose + 0xcb
    nt!KiSystemServiceCopyEnd + 0x13
    0x7ffd76c55584
    Gelesen von unten nach oben

    Der Debuggerlauf zeigt, dass der Besitzer des letzten Thread die Sicherheitssoftware von TrendMicro war. Diese Software hat beim Verringern des Referenzzählers einen Fehler gemacht.

    Bitte die Software von TrendMicro deinstallieren. Schau auch nach, ob es ein spezielles Tool zum Deinstallieren gibt. Wenn nicht, die Software normal über die Systemsteuerung deinstallieren.
    gial, Michael_Bo, Silver Server und 1 weitere bedanken sich.

  5. #5
    batcop
    Herzlich willkommen

    AW: BSOD Pointer REFERENCE BY POINTER

    danke sehr. ich darf es danach aber neuinstallieren oder?

  6. #6
    Ari45
    gehört zum Inventar Avatar von Ari45

    AW: BSOD Pointer REFERENCE BY POINTER

    Ich würde empfehlen: nein
    Der Windows-Defender schützt dich ausreichend. Und wie ich bis jetzt auf der TrendMicro-Seite gelesen habe, wurde diese Software nur bis Windows 8.1 getestet.
    gial bedankt sich.

  7. #7
    Michael_Bo
    gehört zum Inventar

    AW: BSOD Pointer REFERENCE BY POINTER

    Moin,

    Das Problem mit dem Trend Micro sehe ich auch als gelöst.
    Sich nur auf den aktiven Process zu stützen kann gelegentlich nach hinten losgehen.

    WinDbg gibt einen Hinweis welches Objekt abhanden gekommen ist
    Code:
    REFERENCE_BY_POINTER (18)
    Arguments:
    Arg1: 0000000000000000, Object type of the object whose reference count is being lowered
    Arg2: ffffa98321e0b920, Object whose reference count is being lowered
    Arg3: 0000000000000006, Reserved
    Arg4: ffffffffffffffff, Reserved
    Das hätte durchaus ein NTFS Filtertreiber sein können, LAN/WLAN Treiber usw.

    Geht man dem Argument nach da im Stack so nichts zu sehen ist, stolpert man hierüber:
    Code:
    Device object (ffffa98321e0b920) is for:
     Cannot read info offset from nt!ObpInfoMaskToOffset
    Unable to load image \SystemRoot\system32\DRIVERS\tmcomm.sys, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for tmcomm.sys
    *** ERROR: Module load completed but symbols could not be loaded for tmcomm.sys
     \Driver\tmcomm DriverObject ffffa98320af6820
    Current Irp 00000000 RefCount -1 Type 00000022 Flags 00000040
    SecurityDescriptor ffff968de05e10b0 DevExt 00000000 DevObjExt ffffa98321e0ba70 
    ExtensionFlags (0000000000)  
    Characteristics (0x00000100)  FILE_DEVICE_SECURE_OPEN
    Device queue is not busy.
    Der negative Referenzcount bestätigt uns das hier auch.

    Das Driverobjekt wird ebenfalls ausgewiesen

    Code:
    Driver object (ffffa98320af6820) is for:
     \Driver\tmcomm
    Driver Extension List: (id , addr)
    Übeltäter eindeutig dingfest gemacht, das Trend Micro Common Modul & damit shame on Trend Micro

    Ob es möglich ist sich einen Stacktrace zu bauen um den dort auch mal zu sehen wäre aufwändiger und nicht zwingend von Erfolg gekrönt; man hat ja ein belastbares Ergebnis..


    Problem gelöst
    PeteM92, M.atze, batcop und 1 weitere bedanken sich.

Lesezeichen


  • An Google übertragen Google
  • -->

    Berechtigungen

    • Neue Themen erstellen: Nein
    • Themen beantworten: Nein
    • Anhänge hochladen: Nein
    • Beiträge bearbeiten: Nein
    •  

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163